| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- docker
- beebox
- basicrce3
- Reflected
- python
- mount
- bWAPP
- cgroup
- c
- EC2
- SISS
- fork-bomb
- 유석종교수님
- wireshark
- htmlinjection
- Reversing
- acc
- cloud
- pwnable
- Dreamhack
- Linux
- 와이어샤크
- AWS
- Systemhacking
- 백준
- backjoon
- 자료구조
- CodeEngn
- System
- datastructure
- Today
- Total
Ctrl + Shift + ESC
섹션 1. 디지털 포렌식 기초, Warm-up 💪 본문
1. 앞으로 하게 될 일들
- 디지털 포렌식 수사관에 몰입하여 수사 기법과 타임라인을 체화함
- 컴퓨터 디스크 : C드라이브, D드라이브 등 데이터가 담겨 있는 공간(창고)
- 메모리 : 프로그램 등을 실행하기 위해 필요한 공간
- 디스크 이미징 : 디스크를 파일의 형태로 가져오는 것
- 디스크 마운트 : 이미징 된 파일을 컴퓨터에 등록하는 것
- 메모리 덤프 : 실행되고 있는 프로그램을 하나의 파일로 저장하는 것
2. 디스크 이미징
강의 진행을 위해 추가 드라이브가 존재하거나 USB를 준비해야 한다.
FTK-imager : 이미지를 이미징, 마운팅, 메모리 덤프, 검색 기능이 있는 도구
FTK 다운로드 홈페이지에 접속해서 FTK-imager 파일을 다운로드 받아야 하는데 다운되어 있어서 파일은 구글 드라이브에서 다운받았다.
https://drive.google.com/file/d/1Z7uWXZQlqKuwjWpS5dhZBT6CT-EJtCOT/view?usp=sharing
AccessData_FTK_Imager_4.5.0_(x64).exe.zip
drive.google.com
설치가 끝나면 해당 화면이 뜬다.
사진 6장과 스캔 파일 1장만 들어 있는 64GB USB를 24분동안 디스크 이미징을 했다.
디스크 이미징이 끝난 모습이다.
3. 기초 도구 다운로드 및 설명
1. HXD : 파일의 hex값을 볼 때 사용한다.
HxD - Freeware Hex Editor and Disk Editor | mh-nexus
HxD - Freeware Hex Editor and Disk Editor HxD is a carefully designed and fast hex editor which, additionally to raw disk editing and modifying of main memory (RAM), handles files of any size. The easy to use interface offers features such as searching and
mh-nexus.de
2. Everything : 컴퓨터의 인덱스를 만들어 파일을 검색할 때 빠르게 찾을 수 있도록 한다.
https://www.voidtools.com/ko-kr/downloads/
다운로드 - voidtools
www.voidtools.com
3. 7zip : zip 파일의 압축을 해제한다.
https://www.7-zip.org/download.html
Download
Download .7z Any / x86 / x64 LZMA SDK: (C, C++, C#, Java)
www.7-zip.org
4. notepad++ : 파일 로그를 한번에 보거나 전체 파일에 대해 검색할 수 있다.
https://notepad-plus-plus.org/downloads/
Downloads | Notepad++
notepad-plus-plus.org
5. sysinternals suite : strings, procexcp, procmon 등의 도구를 사용한다.
https://docs.microsoft.com/ko-kr/sysinternals/downloads/sysinternals-suite
Sysinternals Suite - Windows Sysinternals
Windows Sysinternals 문제 해결 유틸리티는 단일 도구 모음으로 롤업되었습니다.
docs.microsoft.com
6. autopsy : 이미지 관리 도구 + 추가적인 기능
https://www.autopsy.com/download/
Autopsy - Download
Cyber Triage is fast and affordable incident response software any organization can use to rapidly investigate its endpoints. Built by Brian Carrier, Cyber Triage is designed to support the needs of cyber first responders in law enforcement, consulting fir
www.autopsy.com
4. 디스크 마운트, 메모리 덤프
 |
 |
디스크 마운트를 한 모습이다.
디스크 마운트 : 디스크 이미징 한 파일을 다시 드라이브처럼 컴퓨터에 인식해 붙이는 것(이미징의 반대)
디스크 마운트가 끝나면 복사한 D드라이브와 마운트 된 E드라이브로 2개의 드라이브를 확인할 수 있다.
Evidance tree에 추가되면 파일 목록을 확인할 수 있다.
메모리 덤프 : 메모리 덤프 실행 당시의 파일 상태를 캡처
5. 쉽게 따라하는 삭제 파일 복구
Evidance Tree의 root에 들어가면 x로 표시된 삭제된 파일들을 확인할 수 있다.
우클릭 - export file을 통해 실행하면 삭제된 파일을 복구할 수 있다.